為了保護系統(tǒng)安全，我們會為其設(shè)置登錄密碼。不過，密碼一旦忘記或者被別人非法獲取，要么對您的正常操作帶來不便，要么危害到系統(tǒng)安全。優(yōu)盤已經(jīng)成為了大家最常用的移動存儲器，將優(yōu)盤變成開機專用鑰匙，可以有效解決該問題。不過使用一般的安全軟件（例如Active Lock等），雖然可以利用優(yōu)盤登錄系統(tǒng)。不過其安全性較差，在開始時只要按下F8鍵進入安全模式，就可以避開其控制。其實，我們?nèi)绻肀脔鑿?，從啟動文件和賬戶加密機制入手，就可以讓優(yōu)盤真正變成牢固的開機鎖。

圖1 修改優(yōu)盤主引導(dǎo)記錄

從啟動文件入手，創(chuàng)建優(yōu)盤鎖

對于Windows 7/8來說，在開機時，系統(tǒng)會先查找系統(tǒng)分區(qū)下的Bootmgr文件，之后讀取“C：oot”目錄中的bcd文件，然后執(zhí)行系統(tǒng)的加載操作。對于XP來說，在開機時會先插在系統(tǒng)盤中的ntldr文件，之后找到系統(tǒng)盤中的“boot.ini”文件，之后加載系統(tǒng)。不過對Windows 7或XP來說，如果啟動文件丟失或者損壞，就無法順利啟動系統(tǒng)。依據(jù)這一原理，只要將系統(tǒng)啟動文件移動到優(yōu)盤上，就可以讓系統(tǒng)無法從硬盤中啟動。只有插上優(yōu)盤，系統(tǒng)才可以從中讀取啟動文件，進而順利完成啟動操作。

連上優(yōu)盤后，運行DiskGenius這款磁盤管理軟件，在其主界面左側(cè)的磁盤列表中選擇該優(yōu)盤，在右側(cè)的“分區(qū)參數(shù)”面板中選擇該優(yōu)盤設(shè)備，在其右鍵菜單中點擊“激活當前分區(qū)”項，將該優(yōu)盤設(shè)置為活動分區(qū)，點擊工具欄上的“保存更改”按鈕，保存修改信息。運行BootICE這款小工具，在其主界面中的“物理磁盤”面板中選擇優(yōu)盤設(shè)備，點擊“主引導(dǎo)記錄”按鈕，在彈出窗口（如圖1）中選擇“Grub4Dos 0.4.5c/0.4.6a”項，點擊“安裝配置”按鈕，在GRUB4DOS選項窗口中的“文件名”欄中輸入“GRLDR”，點擊“寫入磁盤”按鈕，將優(yōu)盤啟動方式設(shè)置為GRUB引導(dǎo)模式。

在“物理磁盤”面板中點擊“分區(qū)引導(dǎo)記錄”按鈕，在彈出窗口中的“目標分區(qū)”列表中選擇優(yōu)盤，選擇“Grub4Dos 0.4.5c/0.4.6a”項，點擊“安裝/配置”按鈕，將優(yōu)盤分區(qū)格式設(shè)置為GRUM啟動模式。將“grldr”，“grldr.mbr”等 文件放置到優(yōu)盤根目錄下，使用記事本在優(yōu)盤根目錄下創(chuàng)建名為“menu.lst”的文件，其內(nèi)容為：

之后保存該文件。其中的“Root（hd0，0）”表示從第一硬盤第一分區(qū)（即優(yōu)盤）啟動。當然，需要在主板BIOS中將優(yōu)盤設(shè)置為首個啟動設(shè)備。注意，這是對支持優(yōu)盤的HDD啟動模式而言的。如果您的主板較老，只能將優(yōu)盤模擬為A盤（即軟盤）使用的話，可以對以上文件進行更改為：

其中的“root （hd1，0）”指的本機第二款硬盤的第一個分區(qū)，也就是本機主硬盤，假設(shè)本機只安裝有一塊硬盤。語句“chainloader /kln”指 名加載的目標文件，這里需要將Windows 7系統(tǒng)分區(qū)中的“Bootmgr”文件更名為“kln”（或者更改為別的名稱），來完成引導(dǎo)操作。不過現(xiàn)在的主板幾乎都支持優(yōu)盤的HDD啟動模式。這里就以前一種為例進行說明，在Windows 7中將系統(tǒng)分區(qū)中的“BCD”和“BCD”目錄移動到優(yōu)盤中?；蛘呦葟?fù)制這些文件，之后對在硬盤上對其更名，這樣使其無法從硬盤上讀取引導(dǎo)文件。

運行注冊表編輯器，選擇“HKEY_LOCAL_MACHINEBCD00000000”分支，點擊菜單“文件”→“卸載配置單元”項，在彈出的窗口中選擇“是”按鈕，執(zhí)行所需操作。這樣，將開機時，在主板中將優(yōu)盤設(shè)置為首個引導(dǎo)設(shè)備，如果不插入該優(yōu)盤，系統(tǒng)將無法啟動。只有連上該優(yōu)盤，才可以順利啟動。如果您采用的是XP+Windows 7雙系統(tǒng)，也可以采用上述方法實現(xiàn)安全啟動，不過需要對“menu.lst”進行修改：

并且還要將XP系統(tǒng)盤中的 ntldr，bootfont.bin，boot.ini文件移動或者復(fù)制到優(yōu)盤中，具體方法與上述完全相同。其中的bootfont.bin文件負責顯示XP啟動菜單中的中文字體，boot.ini則是我們熟知的啟動文件。

從加密機制入手，設(shè)計優(yōu)盤開機鎖

使用上述方法，雖然可以將優(yōu)盤變成開機鎖，不過并非無懈可擊。如果別人知道其運作模式，將“Bootmgr”，“ntldr”等文件復(fù)制到WinPE優(yōu)盤上，之后引導(dǎo)系統(tǒng)進入WinPE環(huán)境，將上述引導(dǎo)文件復(fù)制到系統(tǒng)盤中，之后在主板BIOS中恢復(fù)硬盤引導(dǎo)模式，系統(tǒng)就可以順利啟動。為了更好的提高安全性，可以從系統(tǒng)中的賬戶密碼雙重加密功能入手，設(shè)計更加穩(wěn)固的優(yōu)盤開機鎖。我們知道，在不同版本的Windows中，賬戶密碼被系統(tǒng)加密后，保存在系統(tǒng)盤中的“WINDOWSsystem32config”目錄中的SAM文件中。

如果黑客通過各種手段得到了該SAM文件，使用L0phtCrack等破解工具，配合強悍的密碼字典，完全可以將登錄密碼破譯出來。如果密碼設(shè)置的比較簡單的話，破解起來是毫不不費力的。為了抗擊非法破譯，我們可以使用系統(tǒng)內(nèi)置的SYSKEY程序，對SAM文件進行二次加密，大大提高了密碼的安全性，讓非法破譯只能望洋興嘆。因此，將SYSKEY命令和優(yōu)盤結(jié)合起來，就可以輕松創(chuàng)建更加強悍的優(yōu)盤開機鎖。

為了便于使用，最好選擇空白的優(yōu)盤，作為開機鎖使用。例如閑置的小容量的優(yōu)盤等。將優(yōu)盤連接到電腦上，點擊“Win+R”鍵，執(zhí)行“diskmgmt.msc”程序，在磁盤管理窗口中選擇優(yōu)盤，在其右鍵菜單中點擊“更改驅(qū)動器名和路徑”項，在彈出窗口中點擊“更改”按鈕，將優(yōu)盤盤符設(shè)置為“A”。當然，也可以使用DriveLetterView這款免費的軟件，為特定的優(yōu)盤設(shè)置專用盤符。

圖2 啟動密鑰設(shè)置窗口

在DriveLetterView主窗口中顯示所有的驅(qū)動器信息，包括其盤符，驅(qū)動器類型，驅(qū)動器名稱和述信息等。對于硬盤驅(qū)動器，最好不要進行任何處理。實際上，即使您沒有連接優(yōu)盤，DriveLetterView也會將上次優(yōu)盤盤符分配情況顯示出來。在這種情況下，對應(yīng)的盤符會帶有紅色標記。連接好你的優(yōu)盤，假設(shè)系統(tǒng)為其分配的是“L”盤，在DriveLetterView主窗口選擇“K”盤，點擊F9鍵，在彈出窗口中輸入“A：”，點擊 OK 按鈕，您的優(yōu)盤就會永久占用A盤了，直到您重新為其分配盤符為止。

將優(yōu)盤盤符設(shè)置為A盤后，運行“syskey”程序，在保護Windows賬戶數(shù)據(jù)庫的安全窗口中選擇“啟用加密”項，點擊“更新”按鈕，在啟動密鑰窗口（如圖2）中選擇“在軟盤上保存啟動密鑰”項，點擊確定按鈕，在彈出的提示窗口中點擊確定按鈕，系統(tǒng)就會將密鑰文件寫入A盤，之后系統(tǒng)彈出“啟動密鑰文件已經(jīng)寫入A盤，在啟動系統(tǒng)時必須插入該A盤”的提示信息。這樣，該優(yōu)盤就變成了開機專用密鑰盤。

當以后開機時，當系統(tǒng)在登錄界面中顯示需要插入啟動密鑰盤的提示信息時，將該優(yōu)盤連接到電腦上，稍候在檢測窗口中點擊確定按鈕，就可以順利啟動系統(tǒng)了。如果沒有該專用優(yōu)盤的話，是無法正常進入系統(tǒng)的。如果以后不想使用該密鑰盤的話，可以在進入系統(tǒng)后運行“SYSKEY”命令，在彈出窗口中點擊“更新”按鈕，在打開窗口中選擇“在本機上保存啟動密鑰”項，點擊確定按鈕后，按照提示插入上述密鑰盤進行驗證，如果驗證通過的話，就可以解除系統(tǒng)和該優(yōu)盤的綁定狀態(tài)，之后開機時就可以順利啟動系統(tǒng)了。